仮想通貨ウォレットのプロトコルに新たな脆弱性が発見
最新の調査により、主要な仮想通貨ウォレットプロトコルに重大なセキュリティ脆弱性が確認されました。この脆弱性は複数のプラットフォームに影響を及ぼす可能性があり、専門家は即時の対策を推奨しています。具体的な技術的詳細は現在非公開ですが、関係者は最新のセキュリティパッチを適用することが強く求められています。
仮想通貨MCP脆弱性の危険度は?
Crypto-MCPはブロックチェーンのタスクをサポートするために設計されたプロトコルである。これらのタスクには、残高の照会、トークンの送信、スマートコントラクトの展開、分散型金融(DeFi)プロトコルとのやり取りが含まれる。
BaseのBase MCP、ソラナのSolana MCP、Thirdweb MCPのようなプロトコルは強力な機能を提供する。これにはリアルタイムのブロックチェーンデータアクセス、自動トランザクション実行、マルチチェーンのサポートが含まれる。しかし、プロトコルの複雑さとオープン性は、適切に管理されないとセキュリティリスクをもたらす。
開発者のルカ・ボイラー=ケルナー氏は4月初めにこの問題を最初に提起した。同氏は、MCPベースの攻撃がプロトコルを通じてWhatsAppメッセージを漏洩させ、WhatsAppのセキュリティを回避する可能性があると警告した。
その後、ChromiaのデータとAIの責任者であるSuperoo7が調査し、Base-MCPの潜在的な脆弱性を報告した。この問題は、CursorとClaudeという2つの人気AIプラットフォームに影響を与える。この欠陥により、ハッカーは「プロンプトインジェクション」技術を使用して仮想通貨トランザクションの受取アドレスを変更できる。
例えば、ユーザーが特定のアドレスに0.001 ETHを送ろうとすると、ハッカーが悪意のあるコードを挿入して資金を自分のウォレットにリダイレクトすることができる。さらに悪いことに、ユーザーは何も問題に気づかないかもしれない。インターフェースは依然として元の意図したトランザクションの詳細を表示する。
「このリスクは『毒された』MCPを使用することから生じる。ハッカーはBase-MCPを騙して、意図した場所ではなく自分のところに仮想通貨を送らせることができる。これが起こると、気づかないかもしれない」とSuperoo7は述べた。
Crypto-MCPを介したプロンプトインジェクションのデモ 出典: Superoo7
開発者のアーロンジェイマーズ氏はさらに深刻な問題を指摘した。ウォレットのシードフレーズはしばしばMCPの設定ファイルに暗号化されずに保存されている。ハッカーがこれらのファイルにアクセスすると、簡単にシードフレーズを盗み、ユーザーのウォレットとデジタル資産を完全に制御できる。
「MCPは相互運用性とローカルファーストのやり取りにとって素晴らしいアーキテクチャだ。しかし、現行のセキュリティはWeb3のニーズに合っていない。ウォレットのためにより良いプロキシアーキテクチャが必要だ」とアーロンジェイマーズは強調した。
これまでのところ、この脆弱性が仮想通貨を盗むために悪用された確認されたケースは存在しない。しかし、潜在的な脅威は深刻である。
Superoo7によれば、ユーザーは信頼できるソースからのみMCPを使用し、ウォレットの残高を最小限に保ち、MCPのアクセス権限を制限し、MCP-Scanツールを使用してセキュリティリスクを確認することで自分を守るべきである。
ハッカーは多くの方法でシードフレーズを盗むことができる。昨年末のセキュリティインテリジェンスの報告によれば、SpyAgentというAndroidマルウェアがスクリーンショットを盗むことでシードフレーズを狙っている。
カスペルスキーも、画像からOCRを使用してシードフレーズを抽出するSparkCatマルウェアを発見した。一方、マイクロソフトは、MetaMaskやTrust Walletを含むGoogle Chromeの20の仮想通貨ウォレット拡張機能を狙うStilachiRATについて警告した。
